Data Domain: Modifiche imminenti ai certificati di sicurezza del livello di trasporto dello storage Microsoft Azure

In caso di modifica del certificato di storage di Azure (a partire da luglio 2022) prima che i nuovi certificati siano stati aggiunti come attendibili per il cloud, l'unità cloud entra in uno stato di disconnessione per un sistema Data Domain configurato con Cloud Tier in Azure:

# alert show current
Id      Post Time                  Severity   Class   Object                     Message
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
m0-76   Mon Apr 19 15:34:03 2021   CRITICAL   Cloud   CloudUnit=azure-unit   EVT-CLOUD-00001: Unable to access provider for cloud unit azure-unit.
-----   ------------------------   --------   -----   ------------------------   -------------------------------------------------------------------------
There is 1 active alert.
# cloud unit list
Name             Profile     Status
--------------   ---------   ------------
azure-unit        azure      Disconnected
--------------   ---------   ------------

Se DDVE viene implementato su Azure con Active Tier on Object Storage (ATOS), il file system viene disabilitato con i seguenti messaggi di avviso:

Alert History
-------------
Id      Post Time                  Clear Time                 Severity   Class               Object   Message
-----   ------------------------   ------------------------   --------   -----------------   ------   --------------------------------------------------------------------------------------
m0-26   Tue Apr  6 13:58:41 2021   Tue Apr  6 13:59:03 2021   ERROR      Filesystem                 EVT-FILESYS-00008: Filesystem has encountered an error and is restarting.
m0-27   Tue Apr  6 14:19:59 2021   Tue Apr  6 14:20:03 2021   ALERT      Filesystem                 EVT-FILESYS-00002: Problem is preventing filesystem from

I servizi di storage di Microsoft Azure sono stati aggiornati in modo da utilizzare i certificati TLS delle CA che si concatenano a DigiCert Global Root G2. Tuttavia, nel frattempo i certificati correnti (emessi dalla Baltimore Cyber-Trust root) continuano a essere utilizzati.

Questa modifica è a partire da luglio 2022 e dovrebbe essere completata entro la fine di ottobre 2022. Si consiglia di installare un nuovo certificato prima del 30 giugno 2022 e di NON eliminare il certificato corrente.

Per accedere ai container Blob (per Data Domain Cloud Tier o DDVE ATOS), i sistemi Data Domain richiedono il nuovo certificato CA root DigiCert Global G2 anziché il certificato CA root Baltimore Cyber-Trust corrente come attendibili per il cloud.

Per altre informazioni sull'argomento, vedere il seguente blob di sicurezza ufficiale di Azure:
Azure Storage TLS: Critical changes are almost here! (…and why you should care) - Microsoft Tech Community. 

Per rendere la transizione ai nuovi certificati di sicurezza di Azure Storage il più agevole possibile quando le modifiche inizieranno a essere applicate a luglio 2022, è necessario mantenere il certificato attendibile "Baltimore Cyber-Trust root CA" come attendibile per il cloud in Data Domain e aggiungere il nuovo certificato "DigiCert Global G2 Root CA" anch'esso come attendibile per il cloud, piuttosto che sostituire l'uno con l'altro.

La conservazione di entrambi i certificati non comporta alcun problema e consente al sistema Data Domain DDVE di considerare attendibili le connessioni ad Azure Storage indipendentemente dal certificato presentato emesso da una delle CA, evitando così qualsiasi downtime poiché il nuovo certificato viene presentato al sistema Data Domain/DDVE per la prima volta a partire da luglio 2022.

I seguenti passaggi sono applicabili per supportare il certificato radice DigiCert Global G2 per i sistemi Data Domain configurati con Cloud Tier o DDVE implementato sulla piattaforma cloud Azure con ATOS. Si consiglia inoltre di aggiungere il certificato radice DigiCert Global G3 e il certificato autorità di certificazione radice Microsoft ECC o RSA per evitare interruzioni future.

Verificare che il sistema Data Domain DDVE disponga di "Baltimore Cyber-Trust Root" per l'applicazione cloud come mostrato nel seguente esempio:

sysadmin@dd01# adminaccess certificate show
Subject                     Type            Application   Valid From                 Valid Until                Fingerprint
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root    imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
-------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

OPZIONE 1: Istruzioni per l'installazione del certificato utilizzando la workstation
Microsoft Windows Per una demo, cliccare sul video qui sotto:

Guarda su YouTube.

1. Creare una cartella sulla workstation locale.
   Ad esempio:
   C:\MS-AZ-certificates

2. Scaricare Certificati DigiCert Global Root G2/G3 dalla pagina seguente:
   Certificati radice DigiCert - Download e test | DigiCert.com

   Cliccare con il pulsante destro del mouse su Download PEM e salvare il link come:
   Impronte digitali SHA1 DigiCertGlobalRootG2.crt.pem
   : DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   Impronte digitali SHA1 DigiCertGlobalRootG3.crt.pem
   : 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

3. Scaricare Certificato Microsoft RSA ed ECC.

   Cliccare con il pulsante destro del mouse su Download PEM e salvare il link come:
   Autorità di certificazione radice RSA Microsoft 2017
   (identificazione personale: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autorità di certificazione radice Microsoft ECC 2017
   (identificazione personale: 999a64c37ff47d9fab95f14769891460eec4c3c5)

4. Passare alla riga di comando ed eseguire la procedura riportata di seguito. Questi passaggi devono essere eseguiti da un host Windows. Tuttavia, comandi simili possono essere eseguiti da un host Linux.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  09:30 AM    <DIR>          .
15/10/2021  09:30 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.crt.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.crt.pem
15/10/2021  09:30 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:30 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
               4 File(s)          4,190 bytes

5. Ribattezzare DigiCertGlobalRootG2 come segue con .pem.

C:\MS-AZ-certificates>rename DigiCertGlobalRootG2.crt.pem DigiCertGlobalRootG2.pem

C:\MS-AZ-certificates>rename DigiCertGlobalRootG3.crt.pem DigiCertGlobalRootG3.pem

6. Convertire Certificato CA radice RSA Microsoft ECC dal formato CRT a PEM come segue:

C:\MS-AZ-certificates>certutil -encode "Microsoft ECC Root Certificate Authority 2017.crt" ms-ecc-root.pem
Input Length = 605
Output Length = 890
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>certutil -encode "Microsoft RSA Root Certificate Authority 2017.crt" ms-rsa-root.pem
Input Length = 1452
Output Length = 2054
CertUtil: -encode command completed successfully.

C:\MS-AZ-certificates>dir
 Volume in drive C is OS
 Volume Serial Number is E4AE-2A04

 Directory of C:\MS-AZ-certificates

15/10/2021  10:25 AM    <DIR>          .
15/10/2021  10:25 AM    <DIR>          ..
15/10/2021  09:29 AM             1,294 DigiCertGlobalRootG2.pem
15/10/2021  09:29 AM               839 DigiCertGlobalRootG3.pem
15/10/2021  09:46 AM               605 Microsoft ECC Root Certificate Authority 2017.crt
15/10/2021  09:45 AM             1,452 Microsoft RSA Root Certificate Authority 2017.crt
15/10/2021  10:25 AM               890 ms-ecc-root.pem
15/10/2021  10:25 AM             2,054 ms-rsa-root.pem
               6 File(s)          7,134 bytes

7. Importare tutti i file di certificato formattati PEM dalla cartella utilizzando l'interfaccia utente di PowerProtect DD System Manager.

   • Per il sistema Data Domain configurato con Cloud Tier:
     Gestione dei > dati, File System > , Unità > cloud, Gestione dei certificati > , Aggiunta.
     
     
     
     Ripetere i passaggi precedenti per i restanti tre certificati.
   • Per il sistema Data Domain in esecuzione sulla piattaforma Azure con ATOS:
     Gestione dei > dati Riepilogo > file system > Modifica archivio > oggetti CERTIFICATO > Aggiungi.
     
     
     Ripetere i passaggi precedenti per i restanti tre certificati.

      

     Nota: non aggiungere nuovi certificati CA in Access Management.

OPZIONE 2: Istruzioni per l'installazione del certificato utilizzando la workstation Linux

1. Scaricare i seguenti due certificati DigiCert in formato .pem.

   
   https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem Impronta digitale SHA1: DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

   
   https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem Impronta digitale SHA1: 7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

2. Scaricare i due certificati radice seguenti sono in formato DER CRT.

   Autorità di certificazione radice RSA Microsoft 2017
   (identificazione personale: 73a5e64a3bff8316ff0edccc618a906e4eae4d74)

   Autorità di certificazione radice Microsoft ECC 2017
   (identificazione personale: 999a64c37ff47d9fab95f14769891460eec4c3c5)

   Esempio:
   Download dei certificati tramite l'utilità Linux wget:

$ mkdir certs
$ cd certs
$ wget https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
--2021-10-18 20:10:52--  https://cacerts.digicert.com/DigiCertGlobalRootG2.crt.pem
.
.
2021-10-18 20:10:53 (16.5 MB/s) - ‘DigiCertGlobalRootG2.crt.pem’ saved [1294/1294]

$ wget https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
--2021-10-18 20:32:21--  https://cacerts.digicert.com/DigiCertGlobalRootG3.crt.pem
.
.
2021-10-18 20:32:21 (41.1 MB/s) - ‘DigiCertGlobalRootG3.crt.pem’ saved [839/839]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:44--  https://www.microsoft.com/pkiops/certs/Microsoft%20RSA%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:45 (73.2 MB/s) - ‘Microsoft RSA Root Certificate Authority 2017.crt’ saved [1452/1452]

$ wget  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
--2021-10-18 20:31:16--  https://www.microsoft.com/pkiops/certs/Microsoft%20ECC%20Root%20Certificate%20Authority%202017.crt
.
.
2021-10-18 20:31:16 (15.7 MB/s) - ‘Microsoft ECC Root Certificate Authority 2017.crt’ saved [605/605]

admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt

3. Convertire due certificati radice in formato .pem utilizzando i comandi riportati di seguito.

admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ ECC\ Root\ Certificate\ Authority\ 2017.crt -out ms-ecc-root.pem
admin@linux:~/certs$ openssl x509 -inform der -in Microsoft\ RSA\ Root\ Certificate\ Authority\ 2017.crt -out ms-rsa-root.pem
admin@linux:~/certs$ ls -l
total 155
-rw-rw-rw-. 1 admin admin  178 Oct 18 20:32 cert.list
-rw-rw-rw-. 1 admin admin 1294 Dec  6  2017 DigiCertGlobalRootG2.crt.pem
-rw-rw-rw-. 1 admin admin  839 Sep 22 12:36 DigiCertGlobalRootG3.crt.pem
-rw-rw-rw-. 1 admin admin  605 Jan 22  2020 Microsoft ECC Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin 1452 Jan 22  2020 Microsoft RSA Root Certificate Authority 2017.crt
-rw-rw-rw-. 1 admin admin  875 Oct 18  2021 ms-ecc-root.pem
-rw-rw-rw-. 1 admin admin 2021 Oct 18  2021 ms-rsa-root.pem

4. Copiare i file di certificato .pem sul sistema Data Domain.

admin@linux:~/certs$ scp *.pem sysadmin@dd01.example.com:/ddr/var/certificates/
DigiCertGlobalRootG2.crt.pem             100% 1294    13.6KB/s   00:00
DigiCertGlobalRootG3.crt.pem            100%  839     8.8KB/s   00:00
ms-ecc-root.pem                         100%  875     9.2KB/s   00:00
ms-rsa-root.pem                         100% 2021    21.2KB/s   00:00

5. Installare il certificato come segue:

adminaccess certificate import ca application cloud file <file-name>
Certificates should be stored in /ddr/var/certificates before you run the adminaccess command.

admin@linux:~/certs$ ssh sysadmin@dd01.example.com

sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG2.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file DigiCertGlobalRootG3.crt.pem

The SHA1 fingerprint for the imported CA certificate is:
7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-ecc-root.pem

The SHA1 fingerprint for the imported CA certificate is:
99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".
sysadmin@dd01# adminaccess certificate import ca application cloud file ms-rsa-root.pem

The SHA1 fingerprint for the imported CA certificate is:
73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74

        Do you want to import this certificate? (yes|no) [yes]: y
CA certificate imported for application(s) : "cloud".

6. Controllare le informazioni sul nuovo certificato dalla riga di comando di DD DDVE:

sysadmin@ddve# sysadmin@ddve# adminaccess cert show
Subject                                         Type            Application   Valid From                 Valid Until                Fingerprint
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------
dd01.example.com             host            https         Tue Mar 26 10:38:34 2019   Wed Jan 31 10:48:38 2024   30:78:FE:93:DF:2F:9D:B5:08:D7:EC:5E:9E:89:E2:BD:16:13:E1:BA
dd01.example.com             ca              trusted-ca    Wed Mar 27 17:38:34 2019   Wed Jan 31 10:16:38 2024   CB:9D:64:39:56:48:FB:58:C6:93:40:FB:29:91:56:9A:BD:08:7A:C8
Baltimore CyberTrust Root                       imported-ca     cloud         Fri May 12 11:46:00 2000   Mon May 12 16:59:00 2025   D4:DE:20:D0:5E:66:FC:53:FE:1A:50:88:2C:78:DB:28:52:CA:E4:74
DigiCert Global Root G2                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   DF:3C:24:F9:BF:D6:66:76:1B:26:80:73:FE:06:D1:CC:8D:4F:82:A4
DigiCert Global Root G3                         imported-ca     cloud         Thu Aug  1 05:00:00 2013   Fri Jan 15 04:00:00 2038   7E:04:DE:89:6A:3E:66:6D:00:E6:87:D3:3F:FA:D9:3B:E8:3D:34:9E
Microsoft ECC Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 15:06:45 2019   Fri Jul 18 16:16:04 2042   99:9A:64:C3:7F:F4:7D:9F:AB:95:F1:47:69:89:14:60:EE:C4:C3:C5
Microsoft RSA Root Certificate Authority 2017   imported-ca     cloud         Wed Dec 18 14:51:22 2019   Fri Jul 18 16:00:23 2042   73:A5:E6:4A:3B:FF:83:16:FF:0E:DC:CC:61:8A:90:6E:4E:AE:4D:74
---------------------------------------------   -------------   -----------   ------------------------   ------------------------   -----------------------------------------------------------

7. Se uno dei certificati è stato aggiunto accidentalmente per un'applicazione diversa da "cloud", eliminarlo dal certificato dell'Autorità di certificazione nell'interfaccia utente di gestione degli accessi.
   

   
   Nota: Non eliminare il vecchio certificato "Baltimore Cyber-Trust Root".

Per un sistema Data Domain configurato con un file system Cloud Tier, potrebbe essere necessario un riavvio per ristabilire la connessione con le unità cloud. Prevedere un downtime ed eseguire il seguente comando per riavviare il file system:

#filesys restart

Per il sistema Data Domain in esecuzione sulla piattaforma Azure, riavviare DDVE:

#system reboot